Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Tamara Dziełakowska Sędziowie sędzia NSA Zbigniew Ślusarczyk (spr.) sędzia del. WSA Maciej Kobak protokolant asystent sędziego Adam Płusa po rozpoznaniu w dniu 6 grudnia 2023 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] Związku Piłki Nożnej od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 lutego 2020 r., sygn. akt II SA/Wa 1511/19 w sprawie ze skargi [...] Związku Piłki Nożnej na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 25 kwietnia 2019 r., nr: ZSPR.440.43.2019.PAM/I/37160 w przedmiocie nałożenia kary pieniężnej w związku z przetwarzaniem danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od [...] Związku Piłki Nożnej na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 5400 (pięć tysięcy czterysta) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 28 lutego 2020 r. sygn. akt II SA/Wa 1511/19, na podstawie art. 151 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.) dalej "p.p.s.a." oddalił skargę [...] Związku Piłki Nożnej na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 25 kwietnia 2019 r. nr: ZSPR.440.43.2019.PAM/I/37160 w przedmiocie nałożenia kary pieniężnej w związku z przetwarzaniem danych osobowych.

W uzasadnieniu wyroku Sąd pierwszej instancji wskazał, że zaskarżoną decyzją Prezes UODO stwierdził naruszenie przez [...] Związek Piłki Nożnej, zwany dalej "Związkiem", "[...]" lub "skarżącym", przepisów art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018, str. 2), dalej zwanego "RODO", polegające na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie numeru PESEL oraz adresu zamieszkania przez ich nieuprawnione ujawnienie na stronie internetowej [...] pod linkiem: [...] w zakładkach "W.", "J." oraz "L. " i nałożył na Związek administracyjną karę pieniężną w wysokości 55.750,50 PLN, co stanowi równowartość 13.000 EUR, według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.

Oddalając skargę Sąd pierwszej instancji podzielił stanowisko organu, że skarżący przetwarzając dane sędziów piłkarskich nie zastosował się do zasady "minimalizacji danych" oraz "integralności i poufności" z art. 5 ust. 1 lit. c i f RODO. Pomimo dostrzeżenia nieuprawnionego udostępnienia danych osobowych 585 osób, którym przyznano licencje sędziowskie (imię, nazwisko, miejsce zamieszkania i numer PESEL) na stronie Związku i jego zgłoszenia w dniu 27 lipca 2018 r., dane te były dostępne aż do stycznia 2019 r. Sąd podkreślił, że Związek jako administrator swojej strony internetowej odpowiada za jej treść. Wbrew twierdzeniom skarżącego, dane osobowe nie były dostępne w Internecie do stycznia 2019 r. z powodu działania operatora wyszukiwarki internetowej, gdyż ten jest odpowiedzialny jedynie za wyniki, które pojawiają się w wyszukiwarce i odsyłają do konkretnych stron internetowych, nie ma jednak wpływu na treść strony internetowej, do której odsyłają wyniki wyszukiwania. Stan naruszenia w procesie przetwarzania danych osobowych przez skarżącego na stronie internetowej był odnotowany w styczniu 2019 r., co oznacza, że skarżący nie zastosował skutecznych środków technicznych i organizacyjnych zabezpieczających dalsze przetwarzanie tych danych i tym samym doprowadzono do ich dalszego udostępniania nieograniczonej liczbie osób. Zdaniem Sądu, odpowiedzialności Związku jako administratora nie wyłącza także korzystanie z usług firmy informatycznej sprawującej nadzór nad stroną internetową Związku. Skorzystanie przez Związek z usług profesjonalnego podmiotu nie wyłącza odpowiedzialności administratora.

W ocenie WSA w Warszawie pod kątem legalności zaskarżonej decyzji bez znaczenia pozostawał fakt, że dostęp do danych osób, którym przyznano licencje sędziowskie w 2015 r. w zakresie numeru PESEL oraz adresu zamieszkania, widniejących na stronie internetowej Związku był ograniczony z uwagi na okoliczność, że wymagał on uprzedniego dostępu do adresu url i wpisania go w wyszukiwarce internetowej. Adres url stanowi format adresowania i identyfikowania zasobów w Internecie, jego wpisanie nie stanowi natomiast zabezpieczenia danych znajdujących się na stronie internetowej przed ich udostępnieniem nieograniczonej liczbie osób. Sąd zwrócił uwagę, że odesłania do ww. danych znajdowały się również w wynikach pojawiających się w wyszukiwarce internetowej.

Odnosząc się do wysokości nałożonej kary pieniężnej Sąd I instancji uznał, że organ zasadnie wziął pod uwagę katalog okoliczności łagodzących wymiar kary, w którym znalazło się także stwierdzenie, że działalność prowadzona przez Związek ma charakter niezarobkowy. Miarkując wysokość sankcji organ słusznie wziął pod uwagę poważny charakter naruszenia, polegającego na tym, że pomimo stwierdzonego przez skarżącego naruszenia polegającego na publikacji zbyt szerokiego zakresu danych osobowych, podmiot ten nie zastosował skutecznych środków, które uniemożliwiałyby dostęp do danych 585 osób, pomimo zapewnienia złożonego przed organem nadzorczym. Także czas trwania naruszenia ocenić należy negatywnie mając na uwadze moment jego zgłoszenia, tj. 27 lipca 2018 r. i czas skutecznego usunięcia naruszenia, tj. styczeń 2019 r. Zdaniem Sądu zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, szczególnie ze względu na wagę naruszenia, kategorie danych osobowych, których dotyczyło naruszenie (numer PESEL oraz adres zamieszkania udostępnione w połączeniu z imieniem i nazwiskiem), liczbę podmiotów danych objętych naruszeniem (585 osób fizycznych) i czas trwania naruszenia (lipiec 2018- styczeń 2019).

Skargę kasacyjną złożył Związek, zaskarżając powyższy wyrok w całości. Zarzucił naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy (pkt 1), tj.:

a) art. 145 § 1 pkt 1 lit. c) p.p.s.a. w związku z art. 7 k.p.a., art. 75 § 1 k.p.a., art. 77 k.p.a. oraz 80 k.p.a., a także art. 68 ust. 1 u.o.d.o. przez nieuchylenie zaskarżonej decyzji organu, podczas gdy została ona wydana z naruszeniem przepisów postępowania mającym istotny wpływ na wynik sprawy, a polegającym na odstąpieniu przez organ nadzorczy od przeprowadzenia postępowania kontrolnego w niniejszej sprawie, w sytuacji, gdy istniała konieczność uzupełnienia dowodów (m.in. w zakresie uzyskania wiadomości specjalnych odnośnie do mechanizmu ujawnienia przedmiotowych danych osobowych w Internecie w styczniu 2019 r., a także weryfikacji aktualności danych osobowych zawartych w udostępnionych plikach), a w konsekwencji niewyjaśnienie wszystkich okoliczności mających istotne znaczenie dla przedmiotowego rozstrzygnięcia, w tym określenia wymiaru orzeczonej kary pieniężnej, w szczególności w zakresie ustalenia podmiotu odpowiedzialnego za naruszenie ochrony danych osobowych ujawnione w styczniu 2019 r., rzeczywistego okresu trwania ww. naruszenia, a także prawidłowego określenia liczby osób, których ww. naruszenie dotyczyło;

b) art. 145 § 1 pkt 1 lit. c) p.p.s.a. w związku z art. 7 k.p.a., art. 77 k.p.a. oraz 80 k.p.a. przez nieuchylenie zaskarżonej decyzji organu, podczas gdy została ona wydana z naruszeniem przepisów postępowania mającym istotny wpływ na wynik sprawy, polegającym na przekroczeniu przez Prezesa UODO granic swobodnej oceny dowodów i w efekcie uczynienie jej dowolną, co przejawiało się w szczególności w:

i. niewyjaśnieniu przez organ podstaw odmówienia wiarygodności wyjaśnieniom [...], w zakresie w jakim skarżący wskazał, że skutecznie usunął ze swojej strony internetowej w sierpniu 2018 r. pliki zawierające newralgiczne dane osobowe, a następnie - za pośrednictwem profesjonalnego podmiotu - zwrócił się do dostawców Internetu, w tym administratorów wyszukiwarek internetowych, z żądaniem usunięcia ww. danych z wyników wyszukiwania, a także - również w sierpniu 2018 r. - dokonał kontroli stanu realizacji ww. zlecenia i ustalił, iż ww. dane nie pojawiają się już w Internecie, na co wskazywała także korespondencja z firmą informatyczną, która potwierdziła skuteczne usunięcie ww. danych, a w konsekwencji arbitralne uznanie przez PUODO, że [...] nie podjął odpowiednich środków technicznych i organizacyjnych ochrony danych osobowych zmierzających do usunięcia naruszenia zgłoszonego organowi nadzorczemu w dniu 27 lipca 2018 r.;

ii. uznaniu przez organ nadzorczy, że skarżący nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych, podczas gdy [...] Związek Piłki Nożnej przygotował i zaimplementował odpowiednie rozwiązania techniczne i organizacyjne, zgodnie z wymogami RODO (tj. wprowadził polityki ochrony danych osobowych, właściwe rejestry, ustanowił Inspektora Ochrony Danych, a także przeszkolił personel w zakresie zasad i obowiązków związanych z przetwarzaniem danych osobowych), a w lipcu 2018 r. podjął wszelkie działania zmierzające do usunięcia newralgicznych danych z Internetu, co z kolei doprowadziło PUODO do bezpodstawnej konstatacji, że [...] dopuścił się naruszenia art. 32 ust. 1 lit. b) i ust. 2 RODO, w sytuacji gdy w żadnym zakresie nie wykazano, a nawet nie wskazano na czym to naruszenie miałoby polegać;

iii. uznaniu przez organ nadzorczy, że administratorem danych osobowych, których dotyczyło naruszenie ujawnione w styczniu 2019 r., a tym samym podmiotem odpowiedzialnym za ww. naruszenie był [...], podczas gdy z okoliczności niniejszej sprawy wynika, że skarżący usunął dane osobowe wszystkich 585 sędziów piłkarskich ze swojej strony internetowej już w sierpniu 2018 r., a żaden z przeprowadzonych w toku postępowania administracyjnego dowodów nie pozwala na zakwestionowanie ww. okoliczności, a tym samym nie ma podstaw do uznania, iż za naruszenie ochrony danych osobowych stwierdzone w styczniu 2019 r. odpowiadał ktokolwiek inny niż operator wyszukiwarki internetowej, zwłaszcza, że ww. dane dostępne były jedynie za pośrednictwem takiej wyszukiwarki, a nie strony skarżącego;

iv. uznaniu przez organ nadzorczy, że stan przedmiotowego naruszenia danych osobowych trwał nieprzerwanie pomiędzy dniem 27 lipca 2018 r. (tj. dniem stwierdzenia naruszenia przez [...]) a dniem 11 stycznia 2019 r., w którym stwierdzono, iż po wpisaniu w wyszukiwarce internetowej (nie na stronie [...]) określonego adresu "url" można zapoznać się z treścią danych osobowych 585 sędziów piłkarskich, podczas gdy żadne z dowodów zgromadzonych w przedmiotowym postępowaniu nie potwierdza ww. okoliczności, a [...] i działający na jego zlecenie podmiot dokonali czynności sprawdzających, w wyniku których ustalono, iż w sierpniu 2018 r. ww. dane nie pojawiały się już w Internecie, podczas, gdy organ odstąpił od zbadania czy możliwe jest, aby ww. dane mogły zostać ponownie – w okresie pomiędzy sierpniem 2018 r. a styczniem 2019 r. – udostępnione w Internecie na skutek działania operatora wyszukiwarki internetowej, co z kolei doprowadziło do nieprawidłowego określenia czasu trwania przedmiotowego naruszenia, który - jak wskazuje zarówno organ oraz Sąd I instancji - miał następnie wpływ na wymiar nałożonej na [...] administracyjnej kary pieniężnej:

v. arbitralnym uznaniu przez organ nadzorczy, a w konsekwencji Sąd I instancji, że naruszenie ochrony danych osobowych stwierdzone w styczniu 2019 r. dotyczyło 585 osób, która to okoliczność miała następnie istotne znaczenie przy miarkowaniu przez organ nałożonej na [...] administracyjnej kary pieniężnej, podczas gdy w toku postępowania administracyjnego w żadnym zakresie nie podjęto próby weryfikacji, czy dane osobowe zawarte w pliku utworzonym w 2015 r. były aktualne w dacie stwierdzenia naruszenia, a tym samym jaki był rzeczywisty zakres danych osobowych dostępnych w Internecie zarówno w aspekcie podmiotowym jak i przedmiotowym, zamiast tego apriorycznie uznano, że liczba rekordów w pliku sprzed niemal 4 lat odpowiada liczbie osób, których dotyczyło przedmiotowe naruszenie, a zawarte w tych rekordach dane nie straciły na aktualności;

vi. uznaniu przez organ, że skarżący jest podmiotem profesjonalnie przetwarzającym dane osobowe, a tym samym ciążą na nim szczególne obowiązki związane z tym przetwarzaniem, która to okoliczność została następnie wzięta przez organ pod uwagę przy określaniu wysokości administracyjnej kary pieniężnej, w sytuacji, gdy [...] Związek Piłki Nożnej jako organizacja non-profit prowadzi działalność w zakresie organizacji, rozwoju i popularyzacji sportu piłki nożnej w województwie [...], a tym samym przetwarzanie przez nią danych osobowych ma wyłącznie charakter subsydiarny i nie jest związane z głównym przedmiotem działalności [...], a tym samym nie można uznać, że skarżący przetwarza dane osobowe profesjonalnie;

vii. uznaniu przez organ nadzorczy, że skorzystanie przez skarżącego z usług podmiotu profesjonalnie trudniącego się m.in. doradztwem w zakresie informatyki, działalnością portali internetowych, przetwarzaniem danych oraz zarządzaniem stronami internetowymi i posiadającego fachową wiedzę oraz doświadczenie w zakresie funkcjonowania ww. stron, a także zasad działania dostawców usług internetowych, nie jest okolicznością wpływającą na poziom odpowiedzialności skarżącego za wskazane naruszenie (tj. zmniejszającą tą odpowiedzialność), ponieważ to zawsze administrator ponosi odpowiedzialność za przetwarzanie danych osobowych, w sytuacji, gdy [...] nie zajmuje się profesjonalnym przetwarzaniem danych osobowych, w szczególności w środowisku internetowym i nie można od niego wymagać aby posiadał specjalistyczną wiedzę w tym zakresie, a tym samym skorzystanie przez skarżącego z usług wskazanej powyżej firmy, co prawda nie eliminuje, ale pozwala na obniżenie stopnia odpowiedzialności skarżącego za naruszenie ochrony danych osobowych, a w konsekwencji powinno łagodząco wpłynąć na wymiar orzeczonej wobec [...] kary pieniężnej, w szczególności w sytuacji, gdy z treści art. 83 ust. 2 lit. d) RODO wprost wynika, iż odpowiedzialność administratora danych osobowych nie ma charakteru "zerojedynkowego", a jest stopniowalna przy uwzględnieniu zastosowania środków technicznych i organizacyjnych;

c) art. 145 § 1 pkt 1 lit. c) p.p.s.a. w związku z art. 8 ust. 1 i art. 11 k.p.a., a także art. 107 § 1 pkt 6) i § 3 k.p.a. oraz art. 72 u.o.d.o. przez nieuchylenie zaskarżonej decyzji, podczas gdy nie została ona prawidłowo uzasadniona przez organ nadzorczy, w szczególności w zakresie wszystkich faktów i dowodów, które PUODO uznał za udowodnione, jak też dowodów, na których się oparł oraz przyczyn, z powodu których odmówił wiarygodności i mocy dowodowej innym dowodom, a także w zakresie odnoszącym się do wymiaru orzeczonej wobec [...] administracyjnej kary pieniężnej, co przejawiało się w zbyt daleko idącej lakoniczności uzasadnienia ww. rozstrzygnięcia, a niekiedy nawet sprzeczności, podczas gdy uzasadnienie decyzji jest jej integralną częścią, której podstawowa funkcja polega na jej wyjaśnieniu, a brak prawidłowego uzasadnienia uniemożliwia stronie ustalenie, czy organ nie przekroczył granic przyznanego mu uznania administracyjnego, a tym samym skutkuje niewypełnieniem przez organ obowiązku działania w sposób budzący zaufanie uczestników postępowania oraz obowiązku wyjaśnienia stronom zasadności przesłanek, którymi kierował się on przy załatwieniu sprawy;

d) art. 145 § 1 pkt 2 p.p.s.a., w związku z art. 156 § 1 pkt 4) k.p.a. oraz art. 28 k.p.a. przez niestwierdzenie nieważności decyzji PUODO z 25 kwietnia 2019 r., w sytuacji, gdy podmiotem bezpośrednio odpowiedzialnym za naruszenie ochrony danych osobowych stwierdzone w styczniu 2019 r. był operator wyszukiwarki internetowej, a nie [...] Związek Piłki Nożnej z siedzibą w W.;

Ponadto skarżący kasacyjnie Związek zarzucił naruszenie prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie (pkt 2), tj.:

a) art. 145 § 1 pkt 1 lit. a) p.p.s.a. w związku z art. 83 ust. 1, ust. 4 lit. a) oraz 83 ust. 5 lit. a) RODO przez nieuchylenie zaskarżonej decyzji, w sytuacji, gdy PUODO niewłaściwie zastosował ww. przepis i wymierzył skarżącemu administracyjną karę pieniężną na podstawie wskazanych powyżej przepisów, co z kolei pozbawione było podstaw faktycznych, bowiem organ nadzorczy nie poczynił kategorycznych ustaleń w zakresie podmiotu rzeczywiście odpowiedzialnego za ujawnienie newralgicznych danych w Internecie w styczniu 2019 r., a także w sposób dowolny uznał, iż ww. naruszenie było konsekwencją niewdrożenia przez [...] odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych;

b) art. 145 § 1 pkt 1 lit. a) p.p.s.a. w związku z art. 83 ust. 1 RODO oraz art. 8 § 1 k.p.a. przez nieuchylenie zaskarżonej decyzji, w sytuacji, gdy PUODO wymierzył wobec [...] administracyjną karę pieniężną m.in. w celu zniechęcenia innych administratorów danych do naruszania w przyszłości prawa ochrony danych osobowych, co skutkowało naruszeniem przez organ nadzorczy zasady zindywidualizowania kary, a także wymierzeniem jej w wysokości nieproporcjonalnej do rzekomego naruszenia przepisów RODO, którego w ocenie organu miał dopuścić się [...], jak również do naruszenia zasady prowadzenia postępowania administracyjnego w sposób budzący zaufanie jego uczestników do władzy publicznej oraz wytycznej nakazującej organowi administracji kierować się zasadami proporcjonalności, bezstronności i równego traktowania;

c) art. 145 § 1 pkt 1 lit. a) p.p.s.a. w związku z art. 83 ust. 2 lit. a, c, d, oraz h RODO, a także art. 72 u.o.d.o, przez nieuchylenie zaskarżonej decyzji organu nadzorczego, podczas, gdy - w przedmiotowej sprawie - PUODO wymierzył skarżącemu karę administracyjną za naruszenie przepisów RODO, w wysokości określonej w zaskarżonej decyzji (w ocenie skarżącego określonej dowolnie), bezzasadnie uznając, że:

i. charakter przedmiotowego naruszenia przemawia za nałożeniem na skarżącego ww. kary, tj. że [...] nie dopełnił obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych mających zapewnić odpowiedni stopień bezpieczeństwa danych osobowych także w okresie od 27 lipca 2018 r. do stycznia 2019 r., w sytuacji, gdy ze zgromadzonego w sprawie materiału dowodowego nie wynika, że ww. dane osobowe były dostępne w Internecie w całym ww. okresie, a [...] i współpracująca z nim firma informatyczna podjęli w sierpniu 2018 r. działania skutkujące usunięciem newralgicznych danych z sieci, która to okoliczność nie została przez organ skutecznie zakwestionowana w toku postępowania dowodowego;

ii. czas trwania oraz liczba osób poszkodowanych rzekomym naruszeniem ochrony danych osobowych w okresie od 27 lipca 2018 r. do stycznia 2019 r, przemawiały za nałożeniem na PUODO w/w kary w określonej wysokości, w sytuacji, gdy organ nadzorczy - w toku przeprowadzonego postępowania - nie określił rzeczywistej liczby osób, których rzekome naruszenie dotyczyło, a także nie ustalił czy rzeczywiście trwało ono przez cały w/w okres, a z okoliczności sprawy wynika, iż ww. dane nie były dostępne w Internecie już w sierpniu 2018 r.;

iii. wagę rzekomego naruszenia zwiększa okoliczność, że [...] przetwarzał newralgiczne dane osobowe w sposób profesjonalny, tj. w ramach prowadzonej działalności, w sytuacji, gdy skarżący nie może być uznany za podmiot profesjonalnie przetwarzający dane osobowe, gdyż przetwarzanie przez niego danych osobowych ma charakter wyłącznie subsydiarny wobec głównego przedmiotu jego działalności, a zaaprobowanie konstatacji organu nadzorczego prowadziłoby do wniosku, że wszystkie podmioty zobowiązane do przetwarzania danych osobowych zgodnie z RODO czynią to w sposób profesjonalny, gdyż jest to zawsze związane z prowadzoną przez nie działalnością, a tym samym - bez względu na okoliczności - w przypadku każdego naruszenia przepisów RODO mielibyśmy do czynienia z zaistnieniem przesłanki przemawiającej za obostrzeniem wymiaru kary pieniężnej;

iv. nie wpływa na poziom odpowiedzialności skarżącego skorzystanie przez [...], w celu usunięcia skutków naruszenia, z usług podmiotu profesjonalnie trudniącego się m.in. doradztwem w zakresie informatyki, działalnością portali internetowych, przetwarzaniem danych oraz zarządzaniem stronami internetowymi, gdyż odpowiedzialność za ewentualne naruszenie ochrony danych osobowych spoczywa zawsze na administratorze, co z kolei prowadzi do konstatacji, iż w ocenie organu odpowiedzialność taka ma charakter "zerojedynkowy", podczas, gdy z treści art. 83 ust. 2 lit. d) RODO wprost wynika, iż w/w odpowiedzialność administratora jest stopniowalna przy uwzględnieniu zastosowania środków technicznych i organizacyjnych, a w konsekwencji skorzystanie z podmiotu posiadającego specjalistyczną wiedzę w danym zakresie, powinno wpłynąć na obniżenie stopnia odpowiedzialności skarżącego za naruszenie ochrony danych osobowych, a w konsekwencji stanowić okoliczność łagodzącą przy wymiarze orzeczonej wobec [...] kary pieniężnej;

v. samodzielne zgłoszenie: naruszenia danych osobowych przez administratora oraz zaprzestanie naruszenia nie stanowi okoliczności łagodzącej przy wymierzaniu administracyjnej kary pieniężnej, gdyż obowiązek takiego działania jest wymagany przepisami prawa, w sytuacji, gdy z treści art. 83 ust. 2 lit. h RODO wynika, że organ nadzorczy jest obowiązany do wzięcia pod uwagę ww. okoliczności w każdym przypadku, a podzielenie powyższego poglądu PUODO prowadziłoby do konstatacji, iż wskazana okoliczność może mieć wyłącznie negatywne znaczenie dla miarkowania wysokości kary, tj. winna być brana od uwagę wyłącznie w sytuacji, gdy administrator nie uczyni zadość takiemu obowiązkowi;

d) art. 145 § 1 pkt 1 lit. a) p.p.s.a w związku z art. 83 ust. 2 lit. k RODO przez nieuchylenie zaskarżonej decyzji organu nadzorczego, podczas, gdy - w przedmiotowej sprawie PUODO wymierzył skarżącemu karę administracyjną za naruszenie przepisów RODO, w wysokości określonej w zaskarżonej decyzji (w ocenie skarżącego dowolnie określonej), nie biorąc pod uwagę wszystkich innych, niż wymienione wprost w treści art. 83 ust. 2 RODO, czynników mających zastosowanie do okoliczności niniejszej sprawy;

e) art. 145 § 1 pkt 1 lit. a) p.p.s.a. w związku z art. 32 ust. 1 lit. b) i art. 32 ust. 2 RODO w związku z art. 83 ust. 4 lit. a RODO przez nieuchylenie zaskarżonej decyzji organu nadzorczego, podczas gdy PUODO dokonał nieprawidłowej wykładni ww. przepisów i apriorycznie uznał, że każde naruszenie art. 5 ust. 1 lit. f RODO jest związane z uprzednim niezapewnieniem przez administratora odpowiednich środków technicznych i organizacyjnych ochrony danych osobowych, w sytuacji, gdy organ w żadnym zakresie nie wykazał, że [...] Związek Piłki Nożnej nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa przetwarzanych danych osobowych ani nawet nie wskazał w jakim zakresie wdrożone przez ww. podmiot środki nie spełniały kryterium "odpowiedniości".

W oparciu o tak sformułowane zarzuty Związek wniósł o uchylenie zaskarżonego orzeczenia w całości oraz o przekazanie sprawy WSA w Warszawie. Wniósł także o zasądzenie od organu na rzecz skarżącego zwrotu niezbędnych kosztów postępowania kasacyjnego, w tym kosztów zastępstwa adwokackiego, według norm przepisanych.

W odpowiedzi na skargę kasacyjną Prezes UODO wniósł o oddalenie skargi kasacyjnej. W uzasadnieniu wskazał, że w jego ocenie decyzja została wydana w oparciu o materiał dowodowy pozyskany w wyniku postępowania administracyjnego, które zostało przeprowadzone w sposób staranny i rzetelny. Zdaniem organu, nietrafny jest zarzut nieprzeprowadzenia postępowania kontrolnego, ponieważ zebrany w sprawie materiał dowodowy nie pozostawił wątpliwości co do zaistniałego stanu faktycznego. Nie negując okoliczności, iż Związek podejmował czynności mające na celu usunięcie naruszenia, polegającego na udostępnieniu na stronie internetowej danych osobowych osób, którym przyznano licencje sędziowskie w roku 2015, zdaniem organu Związek jako administrator danych, przetwarzanych na jego stronie internetowej ponosi pełną odpowiedzialność za prawidłowość ich przetwarzania. Dla odpowiedzialności tej nie ma znaczenia okoliczność, czy nadzór nad przetwarzaniem danych sprawuje bezpośrednio administrator, czy profesjonalny podmiot z zakresu informatyki. Podobnie wbrew twierdzeniom podnoszonym w skardze kasacyjnej, w ocenie Prezesa UODO okolicznością łagodzącą przy orzekaniu o administracyjnej karze pieniężnej nie może być fakt, że przetwarzanie danych osobowych nie stanowi głównej działalności [...], skoro podmiot ten samodzielnie administruje swoją stroną internetową i samodzielnie decyduje o danych osobowych zawartych na tej stronie.

Organ dodał, że nie znajduje potwierdzenia w zebranym materialne dowodowy stanowisko Związku, jakoby przedmiotowe dane zostały usunięte ze strony internetowej 27 lipca 2018 r. Stan naruszenia w procesie przetwarzania danych osobowych 585 osób, którym przyznano licencje sędziowskie w 2015 r. przez Związek na stronie internetowej był odnotowany w styczniu 2019 r., o czym organ nadzorczy został poinformowany drogą telefoniczną, a Związek w trakcie postępowania toczącego się przed organem nadzorczym oraz przed Sądem I instancji nie negował ustaleń co do liczby osób, których dane osobowe były udostępniane na jego stronie internetowej.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r., poz. 1634 ze zm.) zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonej podstawy kasacyjnej.

Skarga kasacyjna podlega oddaleniu jako niezawierająca usprawiedliwionych podstaw.

Przed przejściem do oceny zarzutów skargi kasacyjnej należy wskazać, że istota niniejszej sprawy sprowadza się do oceny skuteczności przedsięwziętych przez [...] Związek Piłki Nożnej środków technicznych w związku z nieuprawnionym udostępnieniem w Internecie danych osobowych 585 osób, którym przyznano licencje sędziowskie w 2015 r., tj. imion, nazwisk, numerów PESEL oraz adresów zamieszkania tych osób. Poza sporem pozostaje ustalenie, iż dane te w sposób nieuprawniony, z naruszeniem zasad bezpieczeństwa i poufności przetwarzanych danych osobowych, zostały upublicznione na stronie internetowej Związku, pod linkiem: [...] w zakładkach "W. ", "J. " oraz "L. ". Związek nie kwestionuje stanowiska Sądu I instancji, iż udostępnienie adresu zamieszkania i numeru PESEL wykracza poza prawnie uzasadniony cel przetwarzania danych i nie było konieczne publikowanie tak szczegółowych danych osobowych osób, którym przyznano licencje sędziowskie. Również poza sporem pozostaje fakt, iż strona skarżąca podjęła czynności zmierzające do usunięcia skutków naruszenia, w tym m.in. zgłosiła fakt naruszenia do Prezesa UODO. Natomiast kwestią sporną w sprawie jest to, czy strona podjęła skuteczne działania zmierzające do ww. usunięcia danych osobowych. Główny akcent zaskarżonej decyzji położony jest bowiem nie na sam fakt nieuprawnionego udostępnienia danych osobowych, a na nieskuteczność działań podjętych przez Związek w lipcu 2018 r. w celu zapobieżenia skutkom ujawnienia przetwarzanych przez Związek danych sędziów piłkarskich. Wskazuje na to zawarte w zaskarżonej decyzji stwierdzenie, że skarżący "zgłaszając Prezesowi UODO naruszenie w dniu 27 lipca 2018 r. miał świadomość, że zakres danych jaki został udostępniony na jego stronie internetowej jest nieprawidłowy jednak nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa w procesie przetwarzania tych danych, przez co dane te były dostępne na stronie internetowej również po zgłoszeniu naruszenia, tj. po 27 lipca 2018 r., mimo, że w zgłoszeniu naruszenia [...] zawarł oświadczenie, że stan naruszenia trwał do 30 lipca 2018 r." (s. 5 decyzji). Zdaniem organu, stan naruszenia w procesie przetwarzania danych osobowych przez skarżącego na stronie internetowej trwał aż do stycznia 2019 r., co wynikało z dokonania przez Związek wyboru nieskutecznych środków technicznych i organizacyjnych zabezpieczających dalsze przetwarzanie tych danych. Naczelny Sąd Administracyjny podziela tę ocenę Prezesa UODO. Jednocześnie nie ma racji skarżący kasacyjnie Związek wskazując, że skutecznie usunął ze swojej strony internetowej w sierpniu 2018 r. pliki zawierające newralgiczne dane osobowe, gdyż stanowisko to nie znajduje uzasadnienia w zgromadzonym materiale dowodowym.

W skardze kasacyjnej zostały sformułowane zarówno zarzuty naruszenia przepisów postępowania, jak i prawa materialnego. W takiej sytuacji NSA w pierwszej kolejności odniesie się do zarzutów natury procesowej.

Jako nietrafny należało ocenić zarzut z pkt 1 lit. a odnośnie do naruszenia art. 145 § 1 pkt 1 lit. c) p.p.s.a. w związku z art. 7 k.p.a., art. 75 § 1 k.p.a., art. 77 k.p.a. oraz 80 k.p.a., a także art. 68 ust. 1 u.o.d.o. związany z nieprzeprowadzeniem przez organ nadzorczy postępowania kontrolnego. Stosownie do ostatniego ze wskazanych przepisów, "[j]eżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne". Sformułowanie "może" świadczy o fakultatywności przeprowadzenia przez organ postępowania kontrolnego. Podkreślić trzeba, że organ może we wszczętym postępowaniu administracyjnym prowadzić postępowanie dowodowe niezależnie od zastosowania art. 68 u.o.d.o., a skarżący kasacyjnie nie wnosił o przeprowadzenie postępowania kontrolnego ani też nie składał w postępowaniu przed Prezesem UODO wniosków dowodowych. Jednocześnie zebrany w sprawie materiał dowodowy nie pozostawił wątpliwości organu co do zaistniałego stanu faktycznego. W takim stanie rzeczy brak było podstaw do wszczęcia i prowadzenia przez Prezesa UODO postępowania kontrolnego.

Podobnie bezzasadny jest zarzut z pkt 1 lit. b podnoszący naruszenie art. 145 § 1 pkt 1 lit. c) p.p.s.a. w związku z art. 7 k.p.a., art. 77 k.p.a. oraz 80 k.p.a. w związku z przekroczeniem przez Prezesa UODO granic swobodnej oceny dowodów. Sąd kasacyjny odniesie się zbiorczo do podniesionej w tym zarzucie argumentacji. Nie ma racji Związek twierdząc, że skutecznie usunął ze swojej strony internetowej w sierpniu 2018 r. pliki zawierające newralgiczne dane osobowe, a następnie - za pośrednictwem profesjonalnego podmiotu - zwrócił się do dostawców Internetu, w tym administratorów wyszukiwarek internetowych, z żądaniem usunięcia ww. danych z wyników wyszukiwania. Okoliczności sprawy nie potwierdzają tego, aby dane osobowe zostały usunięte ze strony internetowej Związku w sierpniu 2018 r. Wersji tej przeczą dwa ustalenia. Po pierwsze, w styczniu 2019 r. wpłynęła skarga od jednej z osób, której dane osobowe zostały udostępnione na stronie internetowej Związku. Po drugie, na skutek tej skargi organ w styczniu 2019 r. dokonał czynności sprawdzających, czy publikacja danych osobowych została przez Związek usunięta, czy widnieje nadal. Organ w styczniu 2019 r. we własnym zakresie ustalił, że po wpisaniu w wyszukiwarce internetowej adresu strony internetowej Związku opublikowane są na niej dane osobowe łącznie 585 osób, w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania. Okoliczność ta została udokumentowana znajdującą się w aktach sprawy notatką służbową.

W ocenie Naczelnego Sądu Administracyjnego nie sposób zatem przyjąć, aby ocena materiału dowodowego dokonana przez organ miała charakter dowolny. Twierdzenia skarżącego kasacyjnie Związku sprowadzają się do tego, iż podjął on działania w celu usunięcia danych osobowych z Internetu w lipcu 2018 r., jednakże były one nieskuteczne. Świadczy o tym fakt, że w styczniu 2019 r., a więc wiele miesięcy po rzekomym usunięciu danych można było uzyskać do nich dostęp. Warto dodać i za Sądem I instancji podkreślić, że organ nie kwestionował stosowanych przez Związek środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych (tj. wprowadzenie polityki ochrony danych osobowych, ustanowienie Inspektora Ochrony Danych, przeszkolenie pracowników w zakresie obowiązków związanych z przetwarzaniem danych), za nieprawidłową uznał natomiast sytuację, w której pomimo zastosowanych środków i zgłoszenia stwierdzonego naruszenia nie wyeliminowano go. Było to następnie podstawą do uznania przez organ, że podjęte działania były nieskuteczne, a zatem i zastosowane środki były niewystarczające.

Co istotne, wbrew zarzutom skargi kasacyjnej za naruszenie ochrony danych osobowych stwierdzone w styczniu 2019 r. nie odpowiadał operator wyszukiwarki internetowej. Nieoparte na prawdzie są twierdzenia, że przedmiotowe dane dostępne były jedynie za pośrednictwem takiej wyszukiwarki, a nie strony internetowej skarżącego. Z notatki służbowej z 16 stycznia 2019 r. wprost wynika, że w tej dacie wykaz osób, które uzyskały licencje sędziów piłkarskich był dostępny na stronie internetowej Związku pod linkiem: [...], a nie w wynikach wyszukiwania. Kwestia ta wymaga podkreślenia, ponieważ działalność operatora wyszukiwarki internetowej co do zasady sprowadza się wyłącznie do przeszukiwania treści stron internetowych i uwzględniania znajdujących się tam treści w wynikach wyszukiwania. Ustalenie to wzmacnia analiza akt sprawy, a w szczególności korespondencji prowadzonej 13 stycznia 2019 r. pomiędzy Związkiem a G. we W., z której wynika, że podmiot obsługujący strony internetowe [...] wyłączył zupełnie indeksowanie z modułu "Media", co końcowo pozwoliło – dopiero w styczniu 2019 r. – na usunięcie przedmiotowych danych ze strony internetowej Związku. Ustalenia te przesądzają także o niezasadności zarzutu z lit. d dotyczącego naruszenia art. 145 § 1 pkt 2 p.p.s.a. w związku z art. 156 § 1 pkt 4) k.p.a. oraz art. 28 k.p.a. przez niestwierdzenie nieważności decyzji PUODO z 25 kwietnia 2019 r., w sytuacji, gdy podmiotem bezpośrednio odpowiedzialnym za naruszenie ochrony danych osobowych stwierdzone w styczniu 2019 r. miał być operator wyszukiwarki internetowej, a nie Związek.

Nie może odnieść skutku argument, że dostęp do danych znajdujących się na stronie internetowej Związku był ograniczony z uwagi na okoliczność, że wymagał on uprzedniego dostępu do adresu url i wpisania go w wyszukiwarce internetowej. Odwołując się do stwierdzenia zawartego w zaskarżonym wyroku należy wskazać, iż adres url stanowi wyłącznie format adresowania i identyfikowania zasobów w internecie, jego wpisanie nie stanowi natomiast zabezpieczenia danych znajdujących się na stronie internetowej przed ich udostępnieniem nieograniczonej liczbie osób. Oznacza to, że każda osoba dysponująca konkretnym adresem url (linkiem) do strony internetowej Związku ([...]) mogła uzyskać dostęp do danych osobowych 585 sędziów piłkarskich. Dostęp do tej strony nie był ograniczony za pomocą jakichkolwiek środków technicznych takich jak np. login i hasło, dlatego każda osoba, która uzyskała dany link np. od osoby trzeciej, mogła zapoznać się z danymi zgromadzonymi na stronie internetowej Związku.

W tym kontekście zdaniem NSA, materiał dowodowy sprawy pozwala uznać, że strona skarżąca w lipcu 2018 r. podjęła działania zmierzające do usunięcia danych osobowych, ale wyłącznie z wyników wyszukiwania, w tym wyników z Google, a nie z własnej strony internetowej, do której dostęp nie został w żaden sposób ograniczony czy zastrzeżony. Nie jest środkiem technicznym ochrony danych usunięcie odnośnika w wyszukiwarce, niejako ścieżki dostępu do danych zawartych na prowadzonej przez dany podmiot stronie internetowej, skoro dostęp do tych danych w dalszym ciągu mógł nastąpić bezpośrednio na stronie internetowej skarżącego. W ocenie NSA prawidłowa i zgodna z zasadami logiki jest ocena materiału dowodowego organu, iż administrator podjął ograniczone działania w celu usunięcia naruszenia, które okazały się nieskuteczne. Zlecając podmiotowi zewnętrznemu usunięcie naruszenia skarżący nie dokonał weryfikacji podjętych przez ten podmiot działań, a pomimo podjęcia pewnych działań dostęp do danych osobowych był nadal możliwy.

Podobnie nietrafnie skarżący Związek zarzuca arbitralność w akceptacji przez Sąd I instancji stanowiska organu że naruszenie ochrony danych osobowych stwierdzone w styczniu 2019 r. dotyczyło 585 osób, która to okoliczność miała następnie istotne znaczenie przy miarkowaniu przez organ nałożonej na [...] administracyjnej kary pieniężnej, podczas gdy zdaniem strony w toku postępowania administracyjnego nie podjęto próby weryfikacji aktualności danych osobowych w pliku utworzonym w 2015 r. Podkreślić należy, że stosownie do art. 83 ust. 2 lit. a i g RODO organ nakładając administracyjną karę pieniężną bierze pod uwagę m.in. charakter, wagę, naruszenia i kategorie danych osobowych, których dotyczyło naruszenie. Aktualność danych osobowych nie jest przesłanką, która w okolicznościach niniejszej sprawy mogłaby mieć wpływ na wysokość nałożonej kary. Prezes UODO prawidłowo ustalił, iż doszło do udostępnienia danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych, których ujawnienie zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych niezależnie od tego, iż do ujawnienia adresów doszło po kilku latach od ich aktualizacji. Niezależnie od powyższego, nieracjonalne byłoby wymaganie, aby organ nadzorczy, w braku własnych wątpliwości i wniosków dowodowych stron w tym zakresie, ustalał aktualność adresów zamieszkania poszczególnych 585 osób, których udostępnienie danych dotyczyło.

Do pozostałych argumentów podniesionych w ramach zarzutu z lit. b Sąd kasacyjny odniesie się w części dotyczącej analizy zarzutów naruszenia prawa materialnego.

Odnosząc się do zarzutu z pkt 1 lit. c naruszenia art. 145 § 1 pkt 1 lit. c) p.p.s.a. w związku z art. 8 ust. 1 i art. 11 k.p.a., art. 107 § 1 pkt 6) i § 3 k.p.a. oraz art. 72 u.o.d.o., Naczelny Sąd Administracyjny nie podziela stanowiska o nieprawidłowym uzasadnieniu zaskarżonej decyzji. Decyzja Prezesa UODO z 25 kwietnia 2019 r. nr: ZSPR.440.43.2019.PAM/I/37160 zawiera uzasadnienie odnoszące się w szczególności do faktów, które organ uznał za udowodnione i dowodów, na których się oparł. Zdaniem Sądu brak jest niejasności co do okoliczności faktycznych leżących u podstaw zaskarżonej decyzji. W szczególności z decyzji wynika, że w styczniu 2019 r. Związek otrzymał telefoniczną informację, iż pomimo usunięcia przedmiotowych danych z jego strony internetowej [...], są one dostępne w wyszukiwarce Google i plik z danymi wyświetla się w Internecie. Jak wskazał organ, po dokonaniu ponownej analizy strony Związek zwrócił się do firmy informatycznej, która sprawuje nadzór nad tą stroną. W styczniu 2019 r. Związek otrzymał informację od firmy informatycznej sprawującej nadzór nad stroną internetową, że dostęp do treści strony i danych osób, którym przyznano licencje sędziowskie w roku 2015, jest w dalszym ciągu możliwy po wpisaniu w wyszukiwarce internetowej adresu url lub po podejrzeniu treści serwera [...] (s. 3 decyzji). Decyzja wyjaśnia także wysokość nałożonej kary pieniężnej. Stosownie do art. 72 u.o.d.o., "[w] uzasadnieniu decyzji kończącej postępowanie w sprawie wskazuje się dodatkowo przesłanki określone w art. 83 ust. 2 rozporządzenia 2016/679, na których Prezes Urzędu oparł się, nakładając administracyjną karę pieniężną oraz ustalając jej wysokość". Zdaniem NSA, brak jest podstaw do zakwestionowania wykonania przez organ obowiązków, o których mowa w art. 107 § 3 k.p.a. w zw. z art. 72 u.o.d.o. W zakresie wysokości sankcji Prezes UODO wskazał, że wziął pod uwagę m.in. nieumyślny charakter naruszenia, do którego doszło na skutek niedochowania należytej staranności ze strony [...], a także brak informacji, aby osoby, których dane dotyczą, doznały szkody majątkowej, aczkolwiek samo naruszenie poufności danych stanowić może szkodę niemajątkową. Ocenę tę NSA w składzie orzekającym uznaje za prawidłową.

Przechodząc do oceny zarzutów naruszenia prawa materialnego za bezzasadny Sąd uznaje zarzut z pkt 2 lit. a dotyczący naruszenia art. 145 § 1 pkt 1 lit. a) p.p.s.a. w związku z art. 83 ust. 1, ust. 4 lit. a oraz 83 ust. 5 lit. a RODO. Naruszenia tego skarżący kasacyjnie upatruje w nieuchyleniu zaskarżonej decyzji w sytuacji, gdy PUODO niewłaściwie zastosował ww. przepis i wymierzył skarżącemu administracyjną karę pieniężną na podstawie wskazanych powyżej przepisów, co z kolei pozbawione było podstaw faktycznych. Odnosząc się do tak sformułowanego zarzutu należy podkreślić, że za pośrednictwem zarzutu naruszenia prawa materialnego nie można zwalczać ustaleń faktycznych poczynionych przez Sąd I instancji. W ramach oceny naruszenia przez organ przepisów prawa materialnego nie mieści się zagadnienie zakresu prowadzonego postępowania dowodowego i oceny materiału dowodowego (np. wyrok NSA z 11 lipca 2023 r., II GSK 392/20, LEX nr 3607578). Skoro natomiast niezasadne były zarzuty naruszenia przepisów postępowania odnoszące się do ww. kwestii, to w konsekwencji nietrafny jest także zarzut naruszenia prawa materialnego przez jego niewłaściwe zastosowanie.

Naczelny Sąd Administracyjny nie podziela również zarzutu naruszenia prawa materialnego z pkt 2 lit. e odnośnie do naruszenia art. 145 § 1 pkt 1 lit. a) p.p.s.a. w związku z art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO w związku z art. 83 ust. 4 lit. a RODO. Naruszenia tego skarżący kasacyjnie upatruje w nieuchyleniu zaskarżonej decyzji organu nadzorczego, podczas gdy PUODO miał dokonać nieprawidłowej wykładni ww. przepisów i apriorycznie uznać, że każde naruszenie art. 5 ust. 1 lit. f RODO jest związane z uprzednim niezapewnieniem przez administratora odpowiednich środków technicznych i organizacyjnych ochrony danych osobowych. Takie stwierdzenie w zaskarżonej decyzji jednak nie padło. Zarzut opiera się na nietrafnym przyjęciu niewykazania przez organ, iż Związek nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa przetwarzanych danych osobowych. Bezspornie "odpowiednie" na gruncie art. 32 ust. 1 RODO środki techniczne i organizacyjne, to nie środki skuteczne w każdym przypadku, a takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych, obiektywnie wymagane od danego podmiotu (administratora albo podmiotu przetwarzającego) – zob. wyrok NSA z 9 lutego 2023 r., III OSK 3945/21, LEX nr 3508987. Należy jednak podkreślić, że organ w zaskarżonej decyzji nie uznał, iż każde naruszenie art. 5 ust. 1 lit. f) RODO jest związane z uprzednim niezapewnieniem przez administratora odpowiednich środków technicznych i organizacyjnych ochrony danych osobowych. Z zaskarżonej decyzji wynika natomiast prawidłowe stanowisko, że administrator podjął ograniczone działania w celu usunięcia naruszenia, które okazały się nieskuteczne. Działania te polegały na zleceniu podmiotowi zewnętrznemu usunięcie naruszenia, jednakże Związek nie dokonał weryfikacji podjętych działań i na skutek powyższego dostęp do danych osobowych był nadal możliwy. Na podstawie akt administracyjnych sprawy można uznać, że Związek zlecił firmie informatycznej powiadomienie dostawców wyszukiwarek, aby usunąć dane z wyników wyszukiwania, lecz zaniechał usunięcia listy zawierającej dane osobowe osób, które uzyskały licencje piłkarskie, z własnej strony internetowej. Oznacza to, że pomimo podjęcia próby usunięcia danych osobowych z wyników wyszukiwania, w szczególności w wyszukiwarce Google, dane osobowe były w dalszym ciągu dostępne bezpośrednio na serwerze Związku, a dostęp do nich był możliwy m.in. za pośrednictwem linku: [...]. Konieczność wpisania adresu url nie stanowi zabezpieczenia danych znajdujących się na stronie internetowej przed ich udostępnieniem nieograniczonej liczbie osób. Ustalenie to przesądza o bezzasadności wspomnianego wyżej zarzutu naruszenia prawa materialnego, ponieważ przedmiotowe dane osobowe, były dostępne bezpośrednio na stronie internetowej strony skarżącej, a zatem nie były one zabezpieczone jakimkolwiek środkiem technicznym, np. loginem i hasłem.

Podobnie nietrafne są zarzuty naruszenia prawa materialnego z pkt 2 lit. b i c kwestionujące wysokość nałożonej administracyjnej kary pieniężnej. Jak już wyżej wskazano, Związek nie dopełnił obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, wobec czego nałożenie kary było uzasadnione, a określając wysokość kary pieniężnej Prezes UODO wziął pod uwagę okoliczności sprawy świadczące zarówno na korzyść, jak i na niekorzyść Związku. W ocenie NSA nałożona kara jest proporcjonalna, zważywszy zarówno na wysoką liczbę (585 osób dotkniętych naruszeniem), jak i charakter udostępnionych danych osobowych (adresy zamieszkania i numery PESEL). Skarżący kasacyjnie kwestionuje stanowisko organu, iż Związek przetwarzał newralgiczne dane osobowe w sposób profesjonalny, tj. w ramach prowadzonej działalności, w sytuacji gdy, zdaniem strony, skarżący nie może być uznany za podmiot profesjonalnie przetwarzający dane osobowe. Jednakże w ocenie Sądu przetwarzanie danych osobowych przez podmiot będący związkiem sportowym może zostać zakwalifikowane jako przetwarzanie danych w sposób profesjonalny, w ramach prowadzonej działalności. Celem działania Związku jest bowiem organizacja, rozwój i popularyzacja sportu, a Związek realizuje swoje cele m. in. poprzez prowadzenie ewidencji, statystyki, dokumentacji i zasobów archiwalnych oraz wydawanie komunikatów i materiałów informacyjnych. Związek przetwarza m.in. dane osobowe osób, którym przyznano licencje sędziowskie. Jak wskazał Sąd I instancji, [...] jako Wojewódzki Związek Piłki Nożnej jest zobowiązany do prowadzenia ewidencji przyznanych licencji i ich publikacji na stronie internetowej, co wynika z § 13 uchwały Zarządu Polskiego Związku Piłki Nożnej z 19 kwietnia 2012 r., nr IV/74, w sprawie licencji dla sędziów piłkarskich. Oznacza to, że prowadząc działalność i działając dla realizacji swoich celów statutowych, Związek powinien wziąć pod uwagę konieczność odpowiedniego zabezpieczenia ww. kategorii danych i wprowadzenia środków technicznych i organizacyjnych odpowiednich do skali przetwarzania danych, a więc w stopniu wyższym, aniżeli osoba, która nie prowadzi tak zorganizowanej działalności. Wbrew zarzutom skargi kasacyjnej zaaprobowanie konstatacji organu nadzorczego nie prowadziłoby do wniosku, że wszystkie podmioty zobowiązane do przetwarzania danych osobowych zgodnie z RODO czynią to w sposób profesjonalny, gdyż dokonując tej oceny należy poddać analizie charakter, ale i rozmiar prowadzonej działalności. Niewątpliwie przetwarzanie danych przez Związek nie ma charakteru "wyłącznie subsydiarnego", ponieważ, jak wspomniano, jest ono niezbędne dla realizacji założonego celu, zaś skoro Związek przetwarzał dane osób, którym przyznano licencje piłkarskie w formie listy zawierającej 585 pozycji, to znaczy że czynił to w sposób zorganizowany. Z drugiej strony podkreślenia wymaga, że organ uwzględnił fakt, iż działalność Związku ma charakter niezarobkowy, co oznacza, że Prezes UODO wziął pod uwagę jako okoliczność łagodzącą wymiar kary charakter prowadzonej przez skarżącego działalności.

Przechodząc do kwestii skorzystania z usług firmy informatycznej należy wskazać, że okoliczność ta nie zwalnia z odpowiedzialności Związku pełniącego rolę administratora. Stosownie do art. 83 ust. 2 pkt d RODO decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na (...) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i art. 32 RODO. Oznacza to, że posłużenie się podmiotem profesjonalnie trudniącym się doradztwem w zakresie informatyki w celu usunięcia skutków naruszenia nie zwalnia administratora z odpowiedzialności administracyjnej, aczkolwiek ma wpływ na zakres jego odpowiedzialności. W tym kontekście podkreślenia wymaga, iż organ nakładając karę wziął pod uwagę fakt skorzystania przez Związek z usług ww. firmy, jednakże nie powoduje to braku odpowiedzialności, ponieważ Związek jako administrator tych danych został bezpośrednio zobowiązany przepisami RODO do zabezpieczenia przetwarzanych danych przed ich udostępnieniem osobom nieuprawnionym. Podkreślenia wymaga, że w zakresie ustalonego przez organ stanu faktycznego Prezes UODO wskazał, że odpowiedzialność za naruszenie ma charakter nieumyślny, a naruszenie art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO powstało na skutek niedochowania należytej staranności ze strony Związku. Oznacza to, że Związek jako administrator nie dochował poziomu należytej staranności związanej z przetwarzanej danych osobowych, m.in. nie weryfikując skuteczności działań podjętych przez firmę zewnętrzną.

Odnosząc się natomiast do zarzutu nieuwzględnienia przez Prezesa UODO faktu samodzielnego zgłoszenia przez Związek naruszenia danych osobowych, zdaniem NSA, w realiach niniejszej sprawy okoliczność ta nie może zostać wzięta pod uwagę. Wprawdzie błędnie organ wywodzi, że "samodzielne zgłoszenie przez [...] naruszenia ochrony danych osobowych oraz fakt, że aktualnie [...] na swojej stronie internetowej nie przetwarza danych osobowych osób, którym przyznano licencje sędziowskie w roku 2015 nie stanowi okoliczności łagodzącej dla przyznania kary, ponieważ działania takie są wymagane przepisami prawa". W ocenie Sądu kasacyjnego okoliczność powiadomienia organu o naruszeniu, jakkolwiek prawnie wymagana, powinna przemawiać na korzyść jednostki, stosownie do art. 83 ust. 2 lit. h RODO. W myśl tego przepisu, decydując o wymiarze kary organ nadzorczy uwzględnia m.in. sposób, w jaki dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie. Jednakże należy zauważyć, że w niniejszej sprawie Związek zgłosił fakt naruszenia w lipcu 2018 r., a stan naruszenia trwał aż do stycznia 2019 r. Oznacza to, że stan bezprawnego udostępniania danych osobowych miał miejsce wiele miesięcy po zgłoszeniu naruszenia do Prezesa UODO. Nakładając karę pieniężną Prezes UODO uczynił to przede wszystkim z tytułu nieskuteczności środków podjętych już po zgłoszeniu faktu naruszenia do organu, a więc niejako za odrębne naruszenie, które miało miejsce w okresie do stycznia 2019 r., nie mogło być i nie było objęte zgłoszeniem dokonanym w lipcu 2018 r. Dlatego podjęte przez Związek działania, w tym zawiadomienie organu nadzorczego, jako nieskuteczne i poprzedzające kilkumiesięczny stan nieuprawnionego udostępnienia danych, nie mogą zostać wzięte pod uwagę jako okoliczność łagodząca. Tym samym pomimo błędnej wykładni art. 83 ust. 2 lit. h RODO należy stwierdzić, że naruszenie to nie miało wpływu na wynik sprawy stosownie do art. 145 § 1 pkt 1 lit. a p.p.s.a.

W takim stanie rzeczy Sąd I instancji nie naruszył także zarzucanych w pkt 2 lit. d skargi kasacyjnej art. 145 § 1 pkt 1 lit. a) p.p.s.a, w związku z art. 83 ust. 2 lit. k) RODO, ponieważ organ nadzorczy wymierzając karę pieniężną wziął pod uwagę wszystkie istotne okoliczności sprawy.

Mając na uwadze powyższe wywody, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie ma usprawiedliwionych podstaw, dlatego na mocy art. 184 p.p.s.a. ją oddalił.

O kosztach postępowania kasacyjnego od skarżącego kasacyjnie [...] Związku Piłki Nożnej na rzecz Prezesa Urzędu Ochrony Danych Osobowych, ograniczających się do wynagrodzenia radcy prawnego, orzeczono na podstawie art. 204 pkt 1 p.p.s.a.